Расследование Positive Technologies: дело Cobalt продолжает жить

В середине мая 2018 года специалисты подразделения Expert Security Center компании Positive Technologies (PT ESC) зафиксировали вредоносную рассылку фишинговых писем в организациях кредитно-финансового сектора. По ряду признаков можно предположить, что атака организована группой Cobalt или кем-то из ее бывших участников. Напомним, что в марте 2018 года в Европе был арестован предполагаемый лидер группировки.

Первое расследование по Cobalt компания Positive Technologies провела в 2016 году: тогда за одну ночь группировка похитила более двух миллионов рублей (в местной валюте) из шести банкоматов одного восточноевропейского банка. В 2017 году к списку обычных для группы Cobalt целей, находящихся в странах СНГ, Восточной Европы и Юго-Восточной Азии, добавились компании, расположенные в Северной Америке, Западной Европе и даже в Южной Америке. Деятельность около 75% компаний, включенных группой в список для рассылки фишинговых писем, связана с финансами. По данным Positive Technologies, только в первой половине 2017 года Cobalt разослала фишинговые письма с зараженными файлами более чем 3 тысячам получателей из 250 компаний в 13 странах мира.

«На первом этапе атаки группировка Cobalt активно использует методы социальной инженерии для доставки вредоносных файлов, что и неудивительно: согласно нашей статистике, по ссылкам в фишинговых письмах переходят почти 30% получателей, — рассказывает Алексей Новиков, руководитель экспертного центра безопасности Positive Technologies. — Для противодействия атакам со стороны подобных группировок мы рекомендуем в первую очередь организовать проведение регулярных работ по повышению осведомленности сотрудников компании в вопросах ИБ. Необходимо также наладить процесс своевременной установки обновлений безопасности, в том числе и для прикладного ПО, использовать современные средства защиты и проводить мероприятия по расследованию инцидентов».

Cobalt не рассчитывает на одну только невнимательность пользователей или недостатки спам-фильтров на почтовых серверах. Для повышения эффективности своих атак они используют взлом публичных сайтов со слабой защитой для загрузки на них вредоносных файлов, поддельные письма от имени финансовых регуляторов и контрагентов, рассылки не только на корпоративные почтовые адреса, но и на личные адреса сотрудников. Целью рассылки фишинговых писем являются, как правило, компрометация узлов, связанных с управлением банкоматами, и заражение ATM вредоносным ПО для манипуляций с диспенсером. На финальном этапе подставные лица — дропы, или money mules — забирают из банкоматов деньги.

Технические особенности фишинговой рассылки, зафиксированной в мае 2018 года, повторяют различные атаки группы Cobalt. Похожая структура домена для рассылки писем применялась во время атак этой группы на банки России и Восточной Европы. Структура скачанного по ссылкам вредоносного документа схожа с документами, сгенерированными с помощью эксплойт-кита Threadkit, который Cobalt использовала с февраля 2018 года. В ходе новой атаки эксплуатировалась привычная схема доставки загрузчика, предназначенного для скачивания бэкдора, и аналогичный метод расшифровки. Кроме того, бэкдор имеет все те же функции: разведка, запуск программ, загрузка новых модулей, самообновление, самоудаление, поиск антивирусов в системе, шифрование трафика. В данном случае специалисты PT ESC не зафиксировали использования инструментария Cobalt Strike, из-за которого группа и получила свое название, но техника и тактика очень напоминают атаки, которые проводились ранее.

В 2017 году компания Positive Technologies проводила в ряде компаний расследования инцидентов, связанных с атаками группировки Cobalt. Принятые в ходе реагирования на инциденты меры позволили не только выявить и остановить деятельность нарушителей в рамках сетевой инфраструктуры, но и помешать повторной компрометации, которую злоумышленники пытались осуществить после потери контроля, а также предотвратить кражу денежных средств.

Редактор раздела: Александр Авдеенко (info@mskit.ru)

Рубрики: Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
 

MSKIT.RU: последние новости Москвы и Центра

17.05.2019 Биометрия наращивает темпы

16.05.2019 Жизнь правообладателей в стране победившего стриминга

02.05.2019 «Весенний документооборот 2019»: новые технологии и новые вызовы для рынка СЭД

19.04.2019 Инновации на ветер

16.04.2019 ИТ-услуги растут быстрее ВВП

10.04.2019 В 2023 году ретейл потратит на AI на 230 % больше денег

09.04.2019 Складные телефоны: 5 % рынка к 2023 году

05.04.2019 Россияне покупают 100 тысяч устройств для умного дома в месяц

NNIT.RU: последние новости Нижнего Новгорода

ITSZ.RU: последние новости Петербурга